Session劫持攻击

攻击者利用各类手段来获取目标用户的session id。一旦获取到session id，那么攻击者能够利用目标用户的身份来登陆网站，获取目标用户的操做权限。

攻击者获取目标用户session id的方法

• 暴力破解:尝试各类session id，直到破解为止;
• 计算:若是session id使用非随机的方式产生，那么就有可能计算出来;
• 窃取:使用网络截获，xss攻击等方法得到

防范方法

• 按期更改session id
• 更改session的名称
• 关闭透明化session id
• 设置HttpOnly。
  • 经过设置Cookie的HttpOnly为true，
  • 能够防止客户端脚本访问这个Cookie，
  • 从而有效的防止XSS攻击。